【正文】 第一百四十五條 本規(guī)定自發(fā)布之日起執(zhí)行。第十四章 附 則第一百四十三條 人民銀行之前發(fā)布的其他信息安全管理制度有關(guān)規(guī)定條款如與本規(guī)定不一致的，按本規(guī)定執(zhí)行。第十三章 獎(jiǎng)勵(lì)與處罰第一百四十一條 各單位每年應(yīng)組織一次本單位和轄內(nèi)信息安全管理工作評(píng)比活動(dòng)，對(duì)達(dá)標(biāo)單位的相關(guān)人員應(yīng)給予一定的獎(jiǎng)勵(lì)，對(duì)表現(xiàn)突出的單位和個(gè)人進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。第四節(jié) 安全審計(jì)第一百三十九條 各單位科技部門在支持與配合內(nèi)審部門開展審計(jì)信息安全工作的同時(shí)，應(yīng)適時(shí)開展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過(guò)程的技術(shù)審計(jì)，發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。本單位信息安全管理人員全程參與評(píng)估過(guò)程并實(shí)施監(jiān)督。評(píng)估結(jié)束后，形成評(píng)估報(bào)告，提出整改意見報(bào)本單位科技部門主管領(lǐng)導(dǎo)。第一百三十六條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。第一百三十四條 各單位應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級(jí)科技部門備案。第一百三十三條 各單位參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。第二節(jié) 安全檢查第一百三十一條 各單位科技部門應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查，安全檢查方式可以是自查、互查或上級(jí)檢查多種方式。第一百二十九條 各單位科技部門應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)、月報(bào)或季報(bào)制度，報(bào)送本單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技部門，抄送相關(guān)業(yè)務(wù)部門。第一百二十七條 總行辦公廳負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告，其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。第一百二十五條 各單位定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。（六） 事后處理流程。（四） 各類危機(jī)處置流程。（二） 應(yīng)急組織機(jī)構(gòu)。預(yù)案的編制工作由相關(guān)業(yè)務(wù)部門和科技部門共同完成。第一百二十二條 在計(jì)算機(jī)系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。在條件許可的情況下，由總行相關(guān)部門統(tǒng)一部署，重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練，包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練?？傂锌萍妓緭?jù)此確定災(zāi)難備份等級(jí)和備份方案。第一百一十八條 總行科技司將按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負(fù)責(zé)人民銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。第一百一十六條 各單位應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技部門，由上級(jí)科技部門決定是否發(fā)布預(yù)警信息或啟動(dòng)轄內(nèi)應(yīng)急預(yù)案。第十一章 信息通報(bào)、災(zāi)難備份與應(yīng)急管理第一節(jié) 信息通報(bào)第一百一十四條 各單位應(yīng)按照人民銀行信息安全事件報(bào)告制度進(jìn)行信息通報(bào)，一般信息安全事件應(yīng)逐級(jí)通報(bào)，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報(bào)總行科技司。第一百一十三條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，各單位科技部門應(yīng)徹底清除所存工作信息，必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。第一百一十二條 經(jīng)本單位科技部門領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門維護(hù)服務(wù)并由人民銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配置變更信息。第二節(jié) 外包服務(wù)管理第一百一十一條 本規(guī)定所稱外包服務(wù)是指由人民銀行之外的其他社會(huì)廠商為人民銀行計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。第一百〇九條 允許被第三方訪問(wèn)的人民銀行計(jì)算機(jī)系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制，列明所有用戶名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪問(wèn)活動(dòng)。第一百〇八條 各單位保密工作委員會(huì)負(fù)責(zé)涉密計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批，各單位科技部門負(fù)責(zé)非涉密計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批。第一百〇六條 各類密鑰應(yīng)定期更換，對(duì)已泄漏或懷疑泄漏的密鑰應(yīng)及時(shí)廢除，過(guò)期密鑰應(yīng)安全歸檔或定期銷毀。第一百〇四條 各單位應(yīng)建立嚴(yán)格的密鑰管理體制，選擇密碼管理人員必須十本單位在編的正式員工，并逐級(jí)進(jìn)行備案，規(guī)范管理密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、使用、廢除、歸檔、銷毀等過(guò)程。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)人民銀行實(shí)際需求和統(tǒng)一安全策略，合理選擇加密措施。第一百〇一條 各單位應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要計(jì)算機(jī)系統(tǒng)升級(jí)改造前的口令密碼。未經(jīng)科技部門主管領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。口令密碼的強(qiáng)度應(yīng)滿足不同安全性要求?；謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。第九十七條 各單位業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級(jí)，建立備份數(shù)據(jù)銷毀審批登記制度，并根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的安全銷毀措施。第九十六條 各單位科技部門系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要計(jì)算機(jī)系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。第九十四條 各單位業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技部門負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。第九十二條 各單位應(yīng)建立存儲(chǔ)介質(zhì)銷毀制度，對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。重要信息的存取需要授權(quán)和記錄。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。第二節(jié) 存儲(chǔ)介質(zhì)第八十九條 各單位應(yīng)建立健全磁帶、光盤、移動(dòng)存儲(chǔ)介質(zhì)、縮微膠片、已打印文檔等存儲(chǔ)介質(zhì)管理流程。第八十八條 各單位科技部門負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔，實(shí)行借閱登記制度。如需要進(jìn)行遠(yuǎn)程配置，由科技部門或經(jīng)科技部門授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作。第八十五條 各單位科技部門應(yīng)及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品，凡因超過(guò)使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報(bào)廢審批程序處理。如發(fā)現(xiàn)重大問(wèn)題，立即采取控制措施并按規(guī)定程序報(bào)告。掃描、檢測(cè)類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。第八十一條 各單位購(gòu)置掃描、檢測(cè)類信息安全專用產(chǎn)品應(yīng)報(bào)總行科技司批